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(57) Abstract: The invention relates to a method and device for ensuring secure data exchange between an internal and an external 
network, said networks being fully decoupled from each other. This is achieved by means of a transaction interface (3) which creates 
a waiting list in a neutral area (5) for interrogations which are to be processed. Said interrogations are processed exclusively upon 
the initiative of and in the region of the secure internal network (2). The waiting list area is secured both externally and internally by 
corresponding codes and/or an external fire wall (4,6). 

(57) Zusammenfassung: Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen zwei unterscheidbaren 
Netzen. Die Erfindung betrifft ein Verfahren und eine Vorrichtung urn den Datenaustausch zwischen einem inneren und einem 
auBeren Netz bei voUstandiger Entkopplung der Netze sicher zu stellen. Diese Aufgabe wird durch ein Transaktionsinterface (3) 
gelost, das innerhalb einer neutralen Zone (5) eine Warteschlange der zu bearbeitenden Abfragen einrichtet, wobei die Bearbeitung 
dieser Anfragen ausschlieBlich auf Initiative und im 
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Bereich des gesicberten internen Netzes (2) erfolgt, wobei der Bereich des Warteschlange sowohl nach aufien als auch nach innen 
durch entsprechende Verschliisselungen und optional durch eine inn ere und/oder elne aufiere Firewall (4, 6) gesichert ist 
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VERFAHREN UND TRANSAKTIONS INTERFACE ZUM GE- 
SICHERTEN DATENAUSTAUSCH ZWISCHEN UNTER- 

SCHE I DBAREN NETZEN 

Die Erfindung betrifft ein Verfahren und Transaktionsinter- 
face zum gesicherten Austausch zwischen unterscheidbaren 
Netzen, insbesondere zwischen einem externen und einem in- 
ternen Netz, wie beispielsweise dem Internet und einem fir- 
meneigenen Intranet. 

Derartige Verfahren und Vorrichtungen zum gesicherten Aus- 
tausch zwischen Netzen mit vorzugsweise unterschiedlichen 
Sicherheitsstandards gehdren zum Stand der Technik. 

So gehort es zum Stand der Technik, ein internes Datennetz 
vom externen Netz durch eine sogenannte gesicherte Schnitt- 
stelle zu trennen. Die gesicherte Schnittstelle umfaftt da- 
bei im besten Falle einen externen und einen internen Ser- 
ver, die uber eine Firewall miteinander in Datenverbindung 
stehen. Etwaig vom externen Server aufgenommene Kundenan- 
fragen werden im externen Server verarbeitet und nach un- 
terschiedlichen Sicherheitschecks uber die Firewall an den 
internen Server gegeben, der schlieftlich auf die innerhalb 
des zu schiitzenden internen Netzes abgelegten Daten zu- 
greif t . 
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Die zwischen dem internen und externen Server befindliche 
Firewall soli dabei verhindern, daft von auften, insbesondere 
miftbrauchliche Transaktionen oder Veranderungen am ge- 
5 schutzten Datenbestand des inneren Netzes moglich sind. 

Die Firewall verhindert im Ergebnis, daft externe Kunden oh- 
ne entsprechende Berechtigung in eine Datenverbindung mit 
dem internen Netz treten und daft bei bestehender Datenver- 
bindung unzulassige Daten, beispielsweise Virenprogramme 
durch die Firewall in das interne Netz eingespeist werden. 
Hierdurch werden zum Beispiel bei fehlender Berechtigung 
auch an sich zulassige wiinschenswerte Kundendienstabf ragen 
die interne Datentransaktionen erfordern, abgeblockt. 

Eine ubliche Losung hierfiir, besteht in der Offnung eines 
zusatzlichen speziellen Kunden-Gateways, der einen entspre- 
chenden Zugriff erlaubt . Dies hat wiederum den Nachteil, 
daft uber dieses zwar besonders gesicherte Gateway nun doch 
Angriffe auf den internen Datenbestand moglich sind, 

Eine andere Losung belaftt alle etwaigen Kundenfragen auf 
dem externen Server und vermeidet somit etwaig unerwiinschte 
gefahrliche direkte Datenverbindungen nach aufien. Nachtei- 
lig bei dieser Losung ist aber, daft etwaig vertrauliche 
Kundendaten auf einem ungeschut zten externen Server zwi- 
schengespeichert werden. Aus diesem Grund werden die Daten 
durch Spiegelung haufig abgeglichen. Dies wird infolge der 
dadurch wachsenden Datenmenge mit einer erhohten Prozessor- 
leistung bzw. einem schlechteren Zeitverhalten bezahlt. Au- 
fterdem ist bei dieser Losung ein Zugriff in Echtzeit auf 
den geschutzten Datenbestand des internen Netzes kaum mog- 
lich . 
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Aus der internat ionalen Anmeldung. WO 97/19611 ist zur L6- 
sung dieser Probleme ein sogenanntes „Securite-Gateway- 
Interface" (SGI) bekannt, das die beschriebenen Probleme 
dadurch zu losen versucht, da/i aufgrund einer Kundenanf rage 
zunachst eine Authentikation des Kunden erfolgt und im Fal- 
le einer entsprechende Berechtigung des Kunden generiert 
der externe Server dann anhand der Kundenabf rage eine eige- 
ne zulassige Abfrage. Hierdurch ist eine echte Entkopplung 
zwischen den vom Kunden iibermittelten Daten und schliefllich 
zur Weiterbearbeitung vorgesehenen Daten gegeben. Die vom 
externen Server generierte Anfrage wird schlieftlich uber 
die Firewall an einen internen Server in unter Abwicklung 
weiterer Sicherheitsroutinen weitergeleitet und schlieftlich 
im internen Netz bearbeitet und uber den externen Server 
15 eine Antwort an den Nutzer ubermittelt. Dieses System 

stellt somit eine vollstandige Entkopplung von internen und 
externen Netzen sicher. UngelOst bleibt allerdings das Pro- 
blem, daft weiterhin vertrauliche Nutzerdaten weitgehend un- 
geschutzt gegen einen Zugriff von auften auf dem externen 
Server liegen. Falls ein darauf miftbrauchlicher Zugriff auf 
den aulieren ungeschut zten Server gelingt, konnen hier etwa- 
ig nicht zulassige Abfragen durch entsprechend geschickte 
Manipulation erzeugt werden. Dies ist insbesondere deshalb 
moglich, weil zwangslaufig die Authentikation der Nutzerab- 
frage auf dem externen Server erfolgt und somit in dem wei- 
testgehend ungesicherten Bereich des Systems. 
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Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfah- 
ren und eine Vorrichtung zum gesicherten Datenaustausch 
zwischen unterscheidbaren Netzen zu schaffen, daft eine 
vollstandige Entkopplung der beiden Netze sicherstellt und 
uberdies die erwahnten Nachteile des vorbekannten Standes 
der Technik vermeidet . 
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Diese Aufgabe wird durch ein Verfahren zum gesicherten Da- 
tenaustausch gemaft Anspruch 1 und ein Transakt ionsinterf ace 
gemaft Anspruch 15 gelost. 

5 Dadurch, daft im Unterschied zum Stand der Technik, samtli- 
che Abfragen externer Nutzer von einem Schni ttstellenserver 
aufbereitet und in definierter Form in einem Schnittstel- 
lenspeicher zwischengespeichert werden, die vollstandige 
Bearbeitung dieser Abfragen einschlieftl ich der Authentika- 
10 tion des Nutzers aber innerhalb des gesicherten internen 

Netzes erfolgt ist keinerlei Zugriff von auften auf sicher- 
heitsrelevante Datenbereiche des internen Netzes moglich. 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
15 den Unteranspruchen 2 bis 14. 

Gemaft Anspruch 2 wird die im Schnitts tellenspeicher ange- 
legte Warteschlange ausschlieftlich vom inneren Server in 
einer definierten Frequenz abgefragt. Es ist demnach nicht 

20 moglich, aktiv von einem externen Netz aus irgendeine Da- 

tentransaktion im inneren Netz auszulosen, da samtliche Ak- 
tionen vom gesicherten Bereich des inneren Netzes ausgehen 
und auch von hier * init iiert werden und schlieftlich voll- 
standig hier abgewickelt werden. Hierzu zahlt insbesondere 

25 auch die Authentikation des Nutzers. 

Das Sicherheitslevel des Verfahrens kann durch Verwendung 
einer aufteren Firewall zwischen der neutralen Zone und dem 
vorgeschalteten externen Netz weiter gesteigert werden. Au- 
30 fterdem ist hierdurch der miftbrauchliche Zugriff auf in der 
neutralen Zone abgelegte Daten erschwert, auch wenn diese 
Daten an sich nicht sicherhei tsrelevant sind. 
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In diesem Sinn wird eine weitere Steigerung des Sicherheit- 
standards durch Zwischenschaltung einer weiteren inneren 
Firewall zwischen der neutralen Zone und dem internen Netz 
erreicht. Die innere Firewall stellt auch einen wirksamen 
5 Schutz gegen die Spionage von innen, also den Zugriff vom 
internen Netz auf in der neutralen Zone abgelegten Nutzer- 
daten sicher. 

Die innere Firewall erzwingt eine ausschliefllich unindirek- 
10 tionale Kommunikat ion . Dabei werden Aufrufe grundsat zlich 
nur aus dem Bereich des internen Netzes akzeptiert. Ein 
Aufruf aus der neutralen Zone in den Bereich des gesicher- 
ten internen Netzes ist nicht moglich. 

Die Nutzerabf ragen konnen in unterschiedlichen Datenforma- 
ten eingehen. Hierzu kann es sinnvoll sein, in der neutra- 
len Zone einen speziellen externen Server vorzusehen, der 
fur bestimmte ausgewahlte Datenf ormate zustandig ist und 
die hier eingehenden Nut zerabf ragen vor der Weiterleitung 
an den eigentlichen Schni ttstellenserver zunachst konver- 
tiert und ggf . eine Eingangsbes tat igung an den Nutzer uber- 
mittelt , 

Dadurch, daft einmal in der Warteschlange des Schnittstel- 
lenspeichers aufgenommene Abfragen bis zu ihrer vollstandi- 
gen Abarbeitung resistent zwischengespeichert werden, kann 
die Bearbeitung selbst nach einem vollstandigen Systemab- 
sturz im wesentlichen ohne Datenverlust wieder auf genommen 
werden. Schlimmstenf alls mulJ die Bearbeitung der Abfrage 
wiederholt werden. Hierdurch ist das er f indungsgemafte Ver- 
fahren in hochstem Mafle storsicher. Dies stellt sowohl eine 
Maftnahme der Datensicherheit als auch der Bedienerf reund- 
lichkeit dar. 
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Ein weiteres Leistungsmer kmal des erf indungsgemaften Verfah- 
rens besteht darin, dafl die Bearbei tungsgeschwindigkei t an 
die jeweilige Last angepaftt werden kann. Dies geschieht ge- 
matt Anspruch 7 zum einen durch lastabhangige Frequenzsteue- 
rung der Abfragen des Schnittstellenspeichers . 

Dies kann aber auch mit Vorteil durch das Aktivieren von 
parallelen Prozessen innerhalb des Schnitt stellenservers 
und/oder des inneren Servers erfolgen. Die Last steuerung 
wird dabei mit von dem externen Server des Systems oder 
mittels eines Laststeuerungsmoduls der Firewall durchge- 
fuhrt. Dies macht insoweit Sinn, weil die Laststeuerung 
hierdurch an Stellen angeordnet ist, die in Zugrif f srich- 
tung vor dem Schnitt stellenserver und/oder innerem Server 
liegen und somit die er f orderlichen Prozessorkapazitaten 
bereitstellen konnen bevor sie benotigt werden. Hierdurch 
wird ebenfalls die Bedienf reundlichkeit des Systems erhoht 

Neben der sof twaremaftigen Zuschaltung und Aktivierung wei- 
terer Prozesse konnen auch zusatzliche Prozessorakt ivitat- 
ten gemafl Anspruch 10 durch eine ent sprechende Laststeue- 
rung freigegeben oder gesperrt werden. 

Die im Schnittstellenspeicher abgelegten Nut zerabf ragen 
werden mit Vorteil verschlusselt . Die Verschlusselung die- 
ser Abfragen erschwert den Zugriff von aufien aber auch von 
innen auf etwaig vertrauliche Nut zerabf ragen . Hierdurch 
wird ebenfalls sowohl der Spionage von auften als auch von 
innen vorgebeugt . 

Ein vorteilhaf tes Verschlusselungsver f ahren ist gemafi An- 
spruch 12 gegeben . Hierbei ist ein besonderes Sicherheits- 
merkmal durch die individuell vorbest immbare Lebensdauer 
der jeweils eingesetzten Schlussel gegeben. Dies bedeutet, 
dafl selbst falls es einem midbrauchlich Zugreifenden gelin 
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gen sollte, einen eingesetzten Schlussel zu entschlusseln , 
so ist hierdurch langst nicht sichergestellt , daft er einen 
erfolgreichen Miftbrauch oder gar eine Datentransaktion 
durchfuhren kann, da der mit der Schlussel vergabe definier- 
5 te Zeitkorridor so eng bemessen ist, dafi eine miftbrauchli- 
che Zweitverwendung des Schlussels schon aufgrund seiner 
begrenzten Lebensdauer so gut wie ausgeschlossen erscheint. 

Ein weiteres wesentliches Sicherheitssmer kmal des Verfah- 
0 rens liegt darin, dafi die Authentikation des jeweiligen 

Nutzers von der eigentlichen Bearbeitung getrennt erfolgt. 



Entscheidend ist gernafl Anspruch 14, daft obwohl die Authen- 
tikation des Nutzers vollstandig im gesicherten Bereich des 
internen Netzes vorgenommen wird, zu keinem Zeitpunkt das 
einem Nutzer jeweils zugeordnete Passwort von der neutralen 
Zone in das interne Netz oder in umgekehrter Richtung iiber- 
mittelt wird. 



Das Verfahren wird vorteilhaft mit einem Transaktionsinter- 
face gemafi dem unabhangigen Anspruch 15 durchgef uhrt . 

Vorteilhafte Weiterbildungen der erf indungsgemalien Vorrich- 
tung ergeben sich aus den Unteranspruchen 16 bis 29. 

Das Sicherheitsniveau der er f indungsgemaften Vorrichtung 
kann gemaft Anspruch 16 oder 17 durch Verwendung einer inne- 
ren und/oder aufieren Firewall weiter erhoht werden. 

Die Bedienf reundlichkeit und Anwendungsbrei te des Transak- 
tionsinterf aces kann durch einen zusatzlichen externen Ser- 
ver, der in der neutralen Zone angeordnet ist, erhoht sein. 

Eine dynamische Konf iguration des Transakt ionsinter faces 
durch standiges, vorzugsweise periodisches , und vor allera 
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selbsttatiges Uber schreiben der Konf igurat ion aus dem gesi- 
cherten Bereich des internen Netzes stellt ein weiteres Si- 
cherheitsmer kmal dar, da etwaig miftbrauchliche Manipulatio- 
nen der Konf iguration durch einen unbefugten 2ugriff aus 
5 dem externen Netz, so allenfalls von kurzer Dauer sind und 
somit insbesondere die Gefahr einer "schleichenden" Infil- 
tration ausgeraumt ist. Es hat sich erwiesen, daft sich 
langsam auf schaukeinde Eingriffe ein erheblich grofieres Ri- 
siko darstellen als sofortige und massive Eingriffe, die 
10 ebenso schnell bemerkt und bekampft werden konnen. 

Aus dem gleicher Sicherheitsgedanken heraus ist auch das 
Uberschreiben der statischen Dateninhalte der neutralen 
Zone in vorgebbaren Zeitabstaanden eine sinnvolle Weiter- 
15 biidung der Erfindung. 

Bei dem erf indungsgemaften Transakt ionsinter face kann zu ei- 
ner besseren Lastanpassung auch der Schnit t stellenspeicher 
selbst durch eine entsprechende Skalierung an die jeweilige 
20 Last angepaftt werden. 

Ebenfalls einer besseren Lastansteuerung dient die Anord- 
nung mehrerer Net zwer krechner innerhalb der neutralen Zone. 

25 Aus dem gleichen Grund konnen auch mehrerer Net zwerkrechner 
im Bereich des internen Netzes angeordnet sein. 

Dadurch, daft das erf indungsgemafte Transakt ionsinterf ace mit 
einer CORBA-Schnittstelle versehen ist, konnen im Bereich 
30 des internen Netzes unterschiedliche Betr iebssysteme zusam- 
menarbeiten und uber das erf indungsgemafte Transakt ionsin- 
terface geschutzt sein. 
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In besonders vorteilhaf ter Ausgestaltung ist das gesamte 
Transaktionsinterf ace mit einer durchgehenden CORBA-BUS- 
Architektur versehen . 

5 Die Kommunikation innerhalb des Transaktionsinterf ace wird 
mit Vorteil verschlusselt abgewickelt, vorzugsweise DES- 
verschlusselt . 

Dadurch, dafi gemafJ Anspruch 25 vor der Bearbeitung entspre- 
10 chender Nut zerabf ragen eine Bestat igungsanf rage an den Nut- 
zer ubermittelt werden kann, ist das Transaktionsinterf ace 
zum korrekten Vert ragsabschluft innerhalb des Internets in 
der Lage. Die hierdurch erlangte nochmalige Bestatigung der 
Nutzerabf rage oder des Vertrages stellt einen . einwandf reien 
15 Vertragsschlufi im Bereich des e-commerce sicher. 

Der gesamte Betrieb des Transaktionsinterf aces wird mittels 
eines entsprechenden Logging-Moduls innerhalb eines soge- 
nannten Logging-Protokolls auf gezeichnet . In diesem Log- 
20 ging-Protokoll sind samtliche Transa kt ionen und Informatio- 
nen, wie etwa die Verweildauer der jeweiligen Nutzerabfra- 
gen in der Warteschlange, die ID der Nutzer u.a. f verzeich- 
net . 

25 Hierdurch ist es einem Administrator moglich, den Betrieb 
zu uberwachen, etwaige Fehlfunkt ionen fruhzeitig aufzuspu- 
ren und insbesondere etwaige Mifibrauchsver suche zu entdek- 
ken . 

30 Die Erfindung wird nachstehend anhand eines oder mehrerer 
in der Zeichnung nur schematisch dargestellte Ausfuhrungs- 
beispiele naher erlautert. Es zeigen: 
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Fig. 1 ein Blockschaltbild zum Aufbau des Transak- 
tionsinterf aces , 
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Fig.. 2 ein detailliertes Blockschaltbild des Trans- 
a kt ion sint erf aces , 

5 Fig. 3 ein Lauf diagramin zum Verfahren des gesicher- 

ten Datenaustausches und 

Fig. 4 ein Blockschaltbild zum Verf ahrensablauf , 

10 Fig. 1 zeigt ein externes Netz 1 und ein internes Netz 2, 
die uber ein Transaktionsinterf ace 3 miteinander in Daten- 
verbindung treten konnen . 

Beim externen Netz 1 handelt es sich zumeist urn das Inter- 
15 net, wobei als internes Netz 2 das Intranet eines Unterneh- 
mens, haufig ein LAN-Net zwerk, in Frage kommt. Das Transak- 
tionsinterf ace 3 ist streng genommen nicht abgeschlossen 
zwischen beiden Netzen angeordnet . 

20 Im Prinzip beginnt der gesicherte Datenaustausch bereits 
innerhalb des externen Netzes 1 und fuhrt schliefilich im 
Ergebnis zu Transa kt ionen innerhalb des internen Netzes 2, 
die anhand der gestrichelten Linie in Fig. 1 verdeutlicht 
werden soil . 

25 

Im ubrigen weist das Transaktionsinterf ace 3 eine auftere 
Firewall 4 zur Abschottung einer neutralen Zone 5 gegenuber 
dem externen Netz 2 auf. 

30 Die neutrale Zone 5 ist wiederum gegenuber dem internen 

Netz 2 durch eine weitere innere Firewall 6 abgeschottet . 
Die in Fig. 1 symbolisch dargestellten Pfeile symbol isieren 
nur die Wechselwir kung zwischen den gegeneinander abge- 
grenzten Bereichen und nicht etwa Datenf lufirichtungen . 

35 
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Wie sich aus der detaillierteren Darstellung in Fig. 2 er- 
gibt, umfaflt die neutrale Zone 5 einen Schni ttstellenserver 
7 sowie einen externen Server 10. Beim externen Server 10 
wird es sich in den allermeisten Fallen urn einen ublichen 
5 Web-Server handeln. Daruber hinaus ist in der neutralen Zo- 
ne ein Schnittstellenspeicher 11 vorzugsweise als Bestand- 
teil des Schnittstel lenservers 7 vorgesehen. Der Schnitt- 
stellenserver 7 steht uber die innere Firewall 6 mit einem 
inneren Server 12, der bereits innerhalb des gesicherten 

10 Bereichs des internen Netzes 2 angeordnet ist, in Datenver- 
bindung. Der innere Server 12 ist uber eine CORBA- 
Schnittstelle 13 mit einem Oder mehreren Netzservern 14 
Oder vorzugsweise verteilten Datenbankanwendungen 15 uber 
einen CORBA-BUS 16 verbunden. Der CORBA-BUS 16 stellt ein 

15 offenes Bus-System dar, das sich dadurch auszeichnet, daft 
unterschiedlichste Systeme also auch unterschiedliche Be- 
triebssysteme uber diesen CORBA-BUS 16 miteinander kommuni- 
zieren konnen. 

20 So konnen beispielsweise Unix- oder Windows-Betriebs- 

systeme, Gebaudesteuerungs systeme oder Sun -Workstations 
uber denselben CORBA-BUS 16 angesprochen werden. 

Die genannte CORBA-Bus-Architektur wird in bevorzugter Aus- 
25 fuhrung fur den gesamten Datenaustausch innerhalb des 
Transaktionsinterf aces 3 eingesetzt. 

Der genaue Ablauf des Verfahrens zum gesicherten Datenaus- 
tausch aufgrund einer Nut zerabf rage , eines sbgenannten Re- 
30 questes, aus dem externen Netz 1 wird nachstehend ausfuhr- 
lich anhand Fig. 3 und 4 erlautert : 

Ein externer Nutzer 17 kann sich uber das HTP-Protokoll des 
Internet, beispielsweise ein HTML- Formula r zum Datenaus- 
35 tausch mit dem internen Netz 2 beschaffen. Er hat dann Ge- 
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legenheit, seine Anfrage innerhalb dieses HTML-Formulares 
zu formulieren. Die Verwendung des HTML-Formulares ist not- 
wendig, weil innerhalb des hier beschr iebenen Verfahrens 
des gesicherten Datenaustausches nur vorbestimmte zulassige 
5 Datentransaktionen moglich sind. Insoweit ist durch die 

Verwendung von HTML-Formularen sichergestellt , daft auch nur 
diese vorbestimmten Abfragen von den externen Nutzern 17 
formuliert werden. Das HTML- Formula r wird dann uber ein 
Client-Interface 20, beispielsweise eine Java-Konsole ver- 

10 schlusselt durch das Internet ubertragen und gelangt, so- 
fern der externe Nutzer 17 uber die en tsprechenden Berech- 
tigungen bzw. Pafiworte verftigt, uber eine externe Firewall 
4 auf den externen Server 10, der innerhalb der neutralen 
Zone 5 angeordnet ist. Bei dem externen Server 10 handelt 

15 es sich im hier vorliegenden Falle urn einen Web-Server. Das 
Transaktionsinterf ace 3 kann im Rahmen der Erfindung auch 
mit anderen Datenf ormaten , wie etwa RMI, in Datenverbindung 
treten. So kann der Austausch auch mittels alterer Browser- 
typen oder mit anderen Netzformaten aus dem Internet abge- 

20 wickelt werden. 

Derartige Abfragen werden dann nicht uber den externen Ser- 
ver 10 abgewickelt, sondern gelangen direkt auf den 
Schnittstellenserver 7 . 

25 

Dabei kann der Webserver 10 durchaus eine eigene Prozes- 
soreinheit oder ein Modul des Schnittstellenservers 7 sein. 
Es muft sich dabei nicht unbedingt um eine abgeschlossene 
Rechnereinheit handeln. In dem in Fig. 4 dargestell ten Aus- 
30 f uhrungsbeispiel besteht die neutrale Zone 5 im wesentli- 
chen aus dem Schnittstellenserver 7, der eine ganze Reihe 
von Modulen aufweist. 

Die gestrichelten Pfeillinien innerhalb von Fig. 4 stehen 
35 dabei fur einen Aufruf, der eine Aktion an der aufgerufenen 
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Stelle auslost, und die durchgezogenen Pfeillinien fur ei- 
nen Datenflufi in Pf eilrichtung 

Nach Eingang im Webserver 10 wird die aus dem Internet 2 
empfangene Abfrage zunachst entschlusselt ausgelesen und 
schlieftlich an den Schnittstellenserver 7 ubermittelt . Der 
Schnittstellenserver 7 weist ein Begrufiungsmodul 21 zur 
selbsttatigen Bestatigung des Eingangs bzw. zur Begruftung 
des Nutzers 17 aus. Vor allem anderen wird eine Eingangsbe- 
statigung bzw. Begruliung des externen Nutzers 17 uber den 
Web-Server 10 und die auBere Firewall 4 an den Nutzer 17 
zuruckgegeben . 

Je nach Abfrage ist zu diesem Zeitpunkt entschieden und dem 
Nutzer 17 mitgeteilt worden, ob eine synchrone oder asyn- 
chrone Bearbeitung der eingegangenen Abfrage erf olgt . Bei 
einer synchronen Bearbeitung erhalt der externe Nutzer noch 
in derselben Online-Sit zung das Ergebnis seiner Abfrage. 

Im Unterschied hierzu wird bei einer asynchronen Bearbei- 
tung das Ergebnis erst in einer nachsten Online-Sit zung 
oder in einem gesonderten Vorgang an den externen Nutzer 
ubermittelt. Die Ent scheidung , ob eine synchrone oder asyn- 
chrone Bearbeitung erfolgt, richtet sich nach Macht igkeit 
und Sicherheitsrelevanz der vom externen Nutzer 17 empfan- 
genen Abfrage. 

Der Schnittstellenserver 7 beginnt nun die empfangene An- 
frage in unkritische Datenpakete zu zerlegen und in eine 
Warteschlange 22 bzw. 22 ' einzustellen , die in einem spezi- 
ellen Schnitt stellenspeicher 11 bzw. 11', der ebenfalls in- 
nerhalb der neutralen Zone 5 angeordnet ist. 



Dabei wird zumindest in dem hier vorliegenden Ausfuhrungs- 
beispiel zwischen einer Warteschlange 22 zur Authentikat ion 
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des Nutzers 17 und einer Warteschlange 22' mit der eigent- 
lichen Abfrage unterschieden . In der Regel wird es sich da- 
bei um ein und dieselbe Warteschlange, jedoch unterscheid- 
bare, Speicherbereiche handeln. 

Eine her kommliche Nut zerabf rage umfaftt u.a. auch die Nutzer 
ID und ein Passwort. Die Nutzer ID wird unter Verwendung 
des vom Nutzer 17 im Rahmen seiner Abfrage ubermittelten 
Passwortes ver schlusselt in der Warteschlange 22 abgelegt. 

Zur Authentikation des Nutzers 17 wird die jeweilige Nutzer 
ID auf Anfrage des inneren Servers 12 unter Uberwindung der 
inneren Firewall 6, aber ansonsten unverschlusselt, in den 
Bereich des internen Netzes 2 an ein Authentif ikationsmodul 
23 gegeben.- 

Innerhalb des Authentikationsmoduls 23 wird unter Verwen- 
dung des im Bereich des internen Netzes 2 zu der jeweiligen 
Nutzer-ID abgelegten Passwortes die Nutzer-ID verschlus- 
selt und uber die innere Firewall 6 verschliisselt in die 
neutrale Zone 5 zuruckgegeben . 

In der neutralen Zone 5 wird dann mittels eines in der neu- 
tralen Zone implement ierten Authentikationsservices 24 des 
Schnittstellenservers 7 die jeweilige Nutzer-ID unter Ver- 
wendung des vom Nutzer 17 eingegebenen Passwortes ent- 
schlusselt und die erhaltene Nutzer-ID mit der zwischenge- 
speicherten Nutzer-ID verglichen. 



Fur den Fall, daft die beiden 
Bearbeitung fortgesetzt bzw. 
eine entsprechende Miteilung 



ID's ubereinstimmen, wird die' 
freigegeben, ansonsten erfolgt 
an den externen Nutzer 17. 



Bevor die vom externen Nutzer 17 empfangene Abfrage in der 
entsprechend auf bereiteten Form in die Warteschlange 22' 
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eingestellt wird, erfolgt eine Verif izierung der Abfrage. 
Es werden nur solche Datensatze in die Wart eschlange einge- 
stellt, die semantisch korrekt sind. Ansonsten wird die Be- 
arbeitung abgebrochen und eine entsprechende Message liber 
5 den Web-Server 10 an den externen Nutzer 17 abgegeben. 

Daruber hinaus wird in der neutralen Zone 5 eine Bearbei- 
tungsprotokoll 25 der aktuell laufenden Bearbei tungen ge- 
fuhrt. 

10 

Die im Schnittstellenspeicher 11 angelegte Warteschlange 
22' wird in regelmaftigen Abstanden vom inneren Server 12 
auf etwaig vorhandene und noch zu bearbeitende Abfragen ge- 
pruf t . 

15 

Dies stellt sicher, daft unter keinen Umstanden der Zugriff 
des externen Nutzers 17 irgendeine Aktivitat innerhalb des 
geschutzten internen Netzes 2 auslost, sondern der Zugriff 
auf die in die Warteschlange 22' eingestellten Abfragen er- 
20 folgt vielmehr selbsttatig von seiten des internen Servers 
12. Dies ist ein wesentlicher Aspekt, urn etwaige Manipula- 
tionen zu verhindern. 

Fur den Fall, daft auf die vom inneren Server 12 veranlaftte 
25 Abfrage der Warteschlange 22' innerhalb der Warteschlange 

22' noch abzuarbeitende Nut zerabf ragen festgestellt werden, 
werden diese vom inneren Server 12 angefordert . Vor der 
Ubermittlung der Anfrage an den inneren Server 12 erfolgt 
jedoch zunachst eine Verschlusselung der Anfrage. Diese 
30 Verschlusselung erfolgt nach dem Verfahren DES mit einer 
Schlussellange von 56 BIT. Selbst verstandlich konnen auch 
andere Verschlusselungsverf ahren und Schlussellangen einge- 
setzt werden. Die eingesetzten Schlussel werden in einem 
Schlusselmanagement uberwacht und permanent verandert. 



35 
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Die Verschlusselung erfolgt m 
ration des Systems erstellten 
a synch rone SSL-Verschlusselun 
dann unter Verwendung dieses 
5 DES -Verschlusselung . 
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ittels eines bei der Konf igu- 

Basisschlussel , der eine 
g bewirkt . Im weiteren erfolgt 
Basisschlussels eine synchrone 



Insbesondere haben die eingesetzten Schlussel nur eine in- 
dividuell konf igur ierbare Lebensdauer. Dies bedeutet, daft 
mit der Schlusselvergabe ein schmaler Zeitkorridor zum ge- 
10 sicherten Datenaustausch eroffnet wird. nach Ablauf der Le- 
bensdauer kann der Schlussel, selbst wenn es einer unbefug- 
ten Person gelange, ihn zu entschlusseln, nicht mehr ge- 
nutzt werden. Eine miftbrauchliche Zweitverwertung von 
Schlusseln ist hierdurch nahezu ausgeschlossen . 

15 

Diese erneute Verschlusselung der Abfrage vor der Obermitt- 
lung an den inneren Server 12 dient in erster Linie dazu, 
ein Hacking von innen also ein Abhoren vertraulicher Nut- 
zerabfragen im Bereich des geschutzten inneren Netzes 2 zu 
20 vermeiden. 



Hierdurch beugt das beschriebene Verfahren im gesicherten 
Datenaustausch zusatzlich einer Spionage von innen vor. Die 
derart verschlusselte Abfrage wird erneut hinsichtlich der 
25 Struktur, Inhalt und den Feldinhalten uberpruft. 

Fur den Fall, daft die nunmehr erzeugte Abfrage sich als 
nicht zulassig erweist, wird an dieser Stelle die Weiterbe- 
arbeitung abgebrochen und eine entsprechende Mitteilung an 
30 den externen Nutzer 17 ubermittelt. 



Fur den Fall, daB die Abfrage weiter zulassig ist, also ei- 
ner vorbestimmten Datenabfrage oder Transaktion entspricht, 
wird die betreffende Abfrage uber die innere Firewall 6 des 
Transaktionsinterf aces 3 an den inneren Server 12 ubermit- 
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telt. Die Datenbankabf rage kann je nach Sicherheitsrelevanz 
und Machtigkeit auf einen oder mehreren Servern 12, 12'oder 
12'' unter Hinzuziehung von einer oder mehreren Datenbank- 
anwendungen 15 abgearbeitet werden. Somit werden alle si- 
cherheitsrelevanten Vorgange im gesicherten Bereich des in- 
ternen Netzes 2 abgewickelt. 

Hierzu muft zunachst die am inneren Server 12 angelangte Ab- 
frage vor der Wei terbearbeit ung entschlusselt werden. 

Nach Bearbeitung der Anfrage erfolgt eine Ergebnisausgabe, 
die verschliissel t liber die innere Firewall 6 an den 
Schnittstellenserver 7 zuruckgegeben wird. Der Schnitt stel - 
lenserver 7 fuhrt dann eine sogenannte „Matching-Kont rolle" 
durch; d.h. es wird uberpruft, ob das im Bereich des inter- 
nen Netzes 2 erzeugte Ergebnis mit der Nut zerabf rage im 
Einklang steht . Falls dies nicht der Fall ist, wird eine 
Fehlermeldung an den externen Nutzer 17 ubermittelt. 

Sollte dies der Fall sein, wird das Ergebnis an den Web- 
Server 10 ubermittelt, in ein geeignetes Format umgesetzt 
und schlieftlich uber die aufrere Firewall 4 an das Internet 
1 an den externen Nutzer 17 ubertragen. Somit ist eine 
vollstandige Datentransaktion unter Verwendung des erfin- 
dungsgemaften Transaktionsinterf aces 3 beschrieben. 

Das Transaktionsinterf ace 3 ist uberdies mit einer dynami^- 
schen Laststeuerung versehen, die eine Anpassung des Trans- 
aktionsinterf aces 3 an den jeweiligen ^Traffic" ermoglicht . 
Zusatzlich kann, wie aus Fig. 4 deutlich wird, anhand des 
traffics eine lastabhangige Skalierung des Schnittstellen- 
speichers 11' erfolgen. Dies wird in Fig. 4 durch die mog- 
liche Vervielf altigung des mit dem Bezugszeichen 11' verse- 
henen Bereiches dargestellt. 
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Dies bedeutet, daft der Schnittstellenserver 7 in Abhangig- 
keit von der anstehenden Last die eingehenden Anfragen ent- 
sprechend geschickt in die Warteschlange 11 bzw. 11' ein- 
reiht und bedarfsweise weitere Prozesse also parallele War- 
teschlangen 11 x aktiviert, die parallel abgearbeitet werden 
konnen. Hierzu konnen innerhalb der neutralen Zone 5 auch 
mehrere Schnittstellenserver 7, 1' bzw. Serverbereiche vor- 
gesehen sein, die je nach Last aktiviert werden. Die Last- 
steuerung wird dabei entweder vom Web-Server 10 oder von 
einem Modul der aufteren Firewall 4 ubernommen bzw. einem 
Laststeuerungsmodul 26 des Schnitt stellenservers 7. 

Das vorbeschr iebene Lastmanagement wird vorteilhaf terweise 
gemali Fig. 6 durch eine ent sprechende Laststeuerung auch im 
Bereich des internen Netzes 2 unterstutzt. 

So konnen in Abhangigkeit von der anfallenden Last mehrere 
innere Server 12, 12' aktiviert oder gesperrt werden und 
zusatzliche Datenbankanwendungen 15 zur Bearbeitung der 
eingehenden Nachfrage im Bereich des internen Netzes 2 ak- 
tiviert werden. 

Hierbei ist es hilfreich, das gesamte Transaktionsinterf ace 
3 mit einer durchgangigen CORBA-BUS-Architektur zu verse- 
hen, so daft jeder Abfrage eine oder mehrere Serverprozesse 
zugeordnet werden konnen. 

Der auf Seiten des internen Netzes 2 agierende innere Ser- 
ver 12 ist hierzu mit einer CORBA-Schnitt stelle 13 verse- 
hen . 

Die im System eingesetzten inneren und aufteren Firewalls 4 
und 6 konnen vollkommen herkommliche Sof twareprodukt e sein. 
Der CORBA-Bus ermoglicht im ubrigen auf Seiten des internen 



WO 01/33801 



Netzes die Zusammenschaltung 
wie Windows, NT oder Unix. 



verschiedener 
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Die oben beschriebene spezielle Architektur des Transakti- 
onsinterf aces 3 gestattet es, die im Zusammenhang mit einem 
wirksamen Vert ragsschluft im Bereich des e-commerce erfor- 
derlichen Mindestanf orderungen zu erfullen. So kann eine 
uber den Web-Server 10 an den Schnitts tellenserver 7 uber- 
mittelte Anfrage zunachst dahingehend uberpruft werden, ob 
es sich urn eine Vert ragsanf rage handelf. Fur den Fall, daft 
es sich um eine derartige Anfrage handelt, kann ein soge- 
nanntes auf den Schni tt stellenserver 7 angelegtes Vertrags- 
modul vor der Weiterbearbeitung zunachst eine Bestat igungs- 
anfrage an den externen Nutzer richten und erst im Falle, 
daft uber den Web-Server 10 diese Bestatigung eingeht, eine 
Weiterbearbeitung wie oben beschrieben erfolgen. 

Der Schnittstellenserver 7 ist daruber hinaus mit einem 
Logging-Modul versehen, das samtliche Transa ktionen des 
Transaktionsinterf aces 3 protokolliert . Hierdurch konnen 
samtliche Prozesse standig von einem Administrator uber- 
wacht und gegebenenf alls Fehlf unkt ionen oder Miftbrauchver- 
suche sofort aufgedeckt werden . 

Der Administrator sitzt ausschlieftlich im Bereich des in- 
ternen Netzes 2. Die Konf igurat ion des Transa ktionsinter fa- 
ces kann nur von hier erfolgen. 

Somit ist ein Verfahren und ein Transaktionsinterf ace 3 zum 
gesicherten Da tenaustausch zwischen zwei unterscheidbaren 
Netzen 1, 2 gegeben, das bei vollstandiger Entkopplung der 
Netze 1 und 2 mit einer hohen Performance arbeitet und ei- 
nen Mifibrauch von auften wie von innen unmoglich erscheinen 
laftt . 
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BEZUGSZEICHENLISTE 



1 externes Netz 

2 internes Netz 

3 Transakt ions interface 

4 auftere Firewall 

5 neutrale Zone 

6 innere Firewall 

7 Schnitt stellenserver 

10 externer Server 

1 1 Schnittstellenspeicher 
12, 12', 12'' innerer Server 

13 CORBA-Schnittstelle 

14 Net zwer kserver 

1 5 Datenbankanwendung 
17 externer Nutzer 

2 0 Client -Interface 

21 Beg r lift ungsmodul 

22, 22' Warteschlange 

23 Authentikat ionsmodul 

2 4 Authentikat ions service 

2 5 Sitzungsprotokoll 

2 6 Laststeuerungsmodul 
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PATENTANS PRUCHE 

1. Verfahren zum gesicherten Datenaustausch zwischen einem 
externen und einem internen Netz (1 und 2) uber ein 
Transaktionsinterf ace (3) hinweg, bei dem ein externer 
Nutzer vorbestimmte Datent ransaktionen innerhalb des 
internen Netzes (2) vornehmen kann, wobei das Transak- 
tionsinterf ace ( 3 ) 

ein Portal im externen Netz (1), 

eine in Zugrif f srichtung dahinter liegende neutra- 

le Zone (5) mit wenigstens 

einem Schnittstellenserver (7) und 

einem Schnitt stellenspeicher (11) , 

sowie einen inneren Server (12), der bereits in- 
nerhalb des internen Netzes (2) angeordnet ist, 

umf a fit , 

dadurch gekennzeichnet , 

daft Abfragen externer Nutzer (17), die eine Daten- 
transaktion innerhalb des internen Netzes (2) vom 
Schnittstellenserver (7) aufbereitet und in definier- 
ter Form im Schnittstellenspeicher (11) zwischenge- 
speichert werden und 

die vollstandige Bearbeitung einschlieftlich einer 
Nut zerauthentikation innerhalb des internen Netzes 
(2) erfolgt. 
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2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , daft 
folgende Schritte durchlaufen werden; 

etwaig uber das Portal eingegebene Nut zeranf ragen 
werden vom Schni ttstellenserver (7), der innerhalb 
der neutralen Zone (5) angeordnet ist, ausgelesen und 
ggf. quittiert, 

wobei diese etwaige Quittierung an den Nutzer uber- 
mittelt wird, 

der Schnittstellenserver (7) uberpruft die Zulassig- 
keit der Anfrage anhand eines Vergleichs mit einer 
Menge vorbest immter zulassiger Anfragen und deren se- 
mantische Korrektheit, wobei im Fehlerfalle die An- 
frage abgewiesen und ansonsten wie folgt weiter bear- 
beitet wird - 

im Falle der Weiterbearbeitung stellt der Schnitt- 
stellenserver (7) die Anfrage in eine Warteschlange 

(22, 22 y ) , die innerhalb des Schnittstellenspeichers 

(11) angelegt ist, 

diese Warteschlange (22, 22') wird in einer definier- 
ten Frequenz vom inneren Server (12) abgefragt, 
wobei auf diese Abfrage hin eine Ubermittlung der 
auf bereiteten Anfrage in das interne Netz (2) er- 
f olgt, 

wobei dann die vollstandige Bearbeitung einschlieft- 
lich der Autent ikation des Nutzers (17) im internen 
Netz (2) erfolgt, 

das Ergebnis an den Schnittstellenserver (7) zuruck- 
gegeben wird und 

nach einer Uberpriifung, ob Ergebnis und Abfrage in 
Einklang stehen, 

bejahendenf alls eine Antwort an den Nutzer (17) aus- 
gegeben wird. 
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3. Verfahren nach Anspruch 1 Oder 2, dadurch gekennzeich- 
net, daft die Nut zeranf ragen vom externen Netz (l)unter 
Uberwindung einer aufteren Firewall (4) in die neutrale 
Zone (5) gegeben werden. 

4. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet , daft der Datenaustausch zwischen 
der neutralen Zone (5) und dem internen Netz (2) unter 
Uberwindung einer inneren Firewall (6) abgewickelt 
wird . 

5. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daft in der neutralen Zone (5) zu- 
satzlich ein externer Server (10), vorzugsweise ein 
Web-Server, angeordnet ist, wobei zumindest ein Teil 
der Nutzeranf ragen liber diesen externen Server (10) an 
den Schnittstellenserver (7) ubermittelt werden. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daft 
einmal in der Warteschlange (22, 22 x ) des Schnittstel- 
lenspeichers (11) auf genommene Abfragen bis zur voll- 
standigen Abarbeitung oder bis zu einem definierten 
Zeitablauf resistent gespeichert werden. 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daft 
die Frequenz der Warteschlangen-Abf ragen in Abhangig- 
keit von der Anzahl und/oder der Machtigkeit der Nut- 
zerabfragen mittels einer entsprechenden Frequenzsteue- 
rung verandert wird. 
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8. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daft in Abhangigkeit von der An- 
zahl und/oder der Machtigkeit der Nut zerabf ragen paral- 
lels Prozesse innerhalb des Schnitt stellenservers (7) 
und/oder inneren Servers (12) freigegeben oder deakti- 
viert werden. 

9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daft 
innerhalb der neutralen Zone (5) mehrere Schnittstel- 
lenserver (7) angeordnet sind, die je nach Anzahl 
und/oder Machtigkeit der Nut zeranf ragen aktiviert oder 
deaktiviert werden, wobei die hierzu er f orderliche 
Laststeuerung mittels des externen Servers (10) 
und/oder mittels eines Last steuerungsmoduls der aufieren 
Firewall (4) erfolgt. 

10. Verfahren nach Anspruch 8 und 9, dadurch gekennzeich- 
net, daft innerhalb des internen Netzes (2) mehrere in- 
nere Server (12) angeordnet sind, die je nach Anzahl 
und/oder Machtigkeit der Nut zeranf ragen aktiviert oder 
deaktiviert werden, wobei die hierzu erf orderliche 
Laststeuerung mittels des Schnitt stellenservers (7) 
und/oder mittels eines Last steuerungsmoduls der inneren 
Firewall (6) erfolgt. 

11. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daft die Nut zerabf ragen vor Ihrer 
Ubermittlung in die innere Zone (2) innerhalb der neu- 
tralen Zone (5) verschliissel t werden. 

12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daft 
die zur Verschlusselung jeweils eingesetzten Schlussel 
eine individuell vorbest immbare Lebensdauer haben. 
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13. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet , daft die Authent i kat ion des Nut- 
zers (17) unabhangig von der sonstigen Bearbeitung der 
Nut zerabf rage erf olgt . 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet . daft 
die zur Authent i kation des Nutzers (17) folgende 
Schritte durchlaufen werden; 

Separierung einer Nutzer-ID und eines Nut zerpasswor- 
tes aus der Nut zerabf rage in der neutralen Zone (5), 
auf Anfrage des inneren Servers (12) Ubermitt lung der 
Nutzer-ID an das interne Netz (2), 

Verschlusselung der Nutzer ID im inneren Netz (2) un- 
ter Verwendung des im inneren Netz (2) zu dieser Nut- 
zer-ID abgelegten Passwortes, 

und Riickgabe der solcherart verschllisselten Nutzer ID 
in die neutrale Zone (5), 

Entschlusselung der aus dem inneren Netz (2) zuriickge- 
gebenen Nutzer-ID unter Verwendung des vom Nutzer 
(17) eingegebenen und in der neutralen Zone (5) zwi- 
schengespei cher ten Passwortes, 

Vergleich der ent schliis'selten Nutzer ID und der vom 
Nutzer eingegebenen, wobei im Falle der Ubereinstim- 
mung die Authent izitat des Nutzers bestatigt und an- 
dernfalls verneint wird und Abhangigkeit hiervon die 
Nut zerabf rage weiter bearbeitet wird oder nicht . 
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15. Transakt ionsinterf ace zum gesicherten Datenaustausch 
zwischen einem externen und einem internen Netz (1 und 
2), bei dem ein externer Nutzer (17) vorbestimmte Da- 
tent ransaktionen innerhalb des internen Netzes (2) aus- 
losen kann und hierzu das Transa kt ionsinterf ace (3) 

eine neutrale Zone (5), die in Zugrif f srichtung hin- 
ter einem Portal im externen Netz (1) angeordnet ist 
und wenigstens einen Schnittstellenserver (7) , sowie 
wenigstens einen Schni t ts tellenspeicher (11) auf- 
weist , 

wenigstens einem inneren Server (12), der innerhalb 
des internen Netz (2) angeordnet ist, umfaftt, 
dadurch gekennzeichnet , 

daft innerhalb des Schnitt stellenspeichers (11) eine 
Warteschlange (22, 22 y ) zur Zwischenspeicherung von 
Nutzeranf ragen angelegt ist, 

die in einer definierten Frequenz vom inneren Server 
(12) abfragbar ist und 

daft -nach Obermittlung der entsprechend auf bereiteten 
Anf ragen an den inneren Server (12) die vollstandige 
Bearbeitung der Anfragen, einschlieftlich der Nutzer- 
authentikation, innerhalb des internen Netzes (2) 
vorgesehen ist. 

16. Transaktionsinterf ace nach Anspruch 15, dadurch gekenn- 
zeichnet, daft die neutrale Zone (5) gegenuber dem ex- 
ternen Netz (1) mittels einer aufteren Firewall (4) ab- 
geschottet ist. 

17 . Transaktionsinterf ace nach Anspruch 15 oder 16, dadurch 
gekennzeichnet, daft das interne Netz (2) gegenuber der 
neutralen Zone (5) mittels einer inneren Firewall (6) 
abgeschottet ist. 
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18 . Transaktionsinterf ace nach einem der Anspruch 15 bis 

17, dadurch gekennzeichnet , daft innerhalb der neutralen 
Zone (5) zusatzlich ein externer Server (10) vorgesehen 
ist, der aus dem externen Netz(l) unmittelbar oder mit- 
telbar uber den Schnittstellenserver (7) zur Bearbei- 
tung von Nut zerabf ragen ansprechbar ist. 

19. Transaktionsinterf ace nach einem der Anspruche 15 bis 

18, dadurch gekennzeichnet, daft die Konf iguration des 
Transaktionsinterf aces (3) in vorgebbaren Zei tabstanden 
aus dem internen Netz (2) selbsttatig uberschr ieben 
wird . 

20. Transaktionsinterf ace nach einem der Anspruche 15 bis 

19, dadurch gekennzeichnet, daft in der neutralen Zone 
(5) abgelegte Daten in vorggebbaren Zeitabstanden aus 
dem internen Netz (2) selbsttatig uber schrieben werden. 

21 . Transaktionsinterf ace nach einem der Anspruche 15 bis 

20, dadurch gekennzeichnet, daft der Schnitt stellenspei- 
cher (11) derart skalierbar ist, daft aus dem externen 
Netz (1) eingehende Nut zerabf ragen je nach Umfang und 
Dringlichkeit entsprechend in die Warteschlange (22, 

22 M des Schnitt stellenservers (7) einsortiert und ge- 
gebenenfalls zusatzliche Prozesse aktivierbar sind. 

22 . Transaktionsinterf ace nach Anspruch 21, dadurch gekenn- 
zeichnet, daft innerhalb der neutralen Zone (5) mehrere 
Net zwer krechner angeordnet sind, auf denen jeweils ein 
Schnittstellenserver (7) angeordnet ist, wobei in Ab- 
hangigkeit von der Anzahl und/oder Machtigkeit der Nut- 
zeranfragen zusatzliche Server (7) aktiviert Oder de- 
aktiviert werden konnen, wobei die Last steuerung vom 
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externen Server (10) und/oder der aufteren Firewall (4) 
erf olgt . 

23 . Transaktionsinterf ace nach Anspruch 20 oder 2119, da- 
durch gekennzeichnet, daft im Bereich des internen Net- 
zes (2) mehrere Net zwerkrechner angeordnet sind, die 
jeweils mit einem inneren Server (12) versehen sind, 
die je nach Umfang und Machtigkeit der Nut zeranf ragen 
aktivierbar oder deakt ivierbar sind, wobei die Last- 
steuerung von der inneren Firewall (6) bzw. einem oder 
mehreren Schni ttstellenservern (7) ubernommen wird. 

24 . Transaktionsinterf ace nach einem der vorhergehenden An- 
spruche 15 bis 23, dadurch gekennzeichnet, daft der in- 
nere Server (12) uber einen CORBA-Bus mit dem internen 
Netz (2) kommuniziert 

25. Transaktionsinterf ace nach Anspruch 22, dadurch ge- 
kennzeichnet, daft das gesamte Transaktionsinterf ace (3) 
uber ein durchgehendes CORBA-Bus-System in Datenverbin- 
dung steht . 

26. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 23, dadurch gekennzeichnet, daft die gesamte interne 
Schnittstellenkommunikation SSL-verschlusselt , vorzugs- 
weise DES verschlusselt , erf olgt . 

27. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 24, dadurch gekennzeichnet, daft der Schnittstellen- 
server (7) vor der Einstellung bestimmter Nutzeranfra- 
gen eine Bestatigungsanf rage an den Nutzer (17) uber- 
mittelt und erst nach Eingang der Bestatigung die Wei- 
terbearbeitung erf olgt . 
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28. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 25, dadurch gekennzeichnet , daft mittels eines Log- 
ging-Moduls ein Logging-Protokoll auf gezeichnet wird, 
das samtliche uber das Transakt ionsinterf ace (3) abge- 
wickelten Transakt ion en auf zeichnet . 

29. Verfahren nach einem der vorhergehenden Anspruche 15 
bis 26, dadurch gekennzeichnet, daft die Konf igurat ion 
des Schnit tstellenservers (7) ausschlieftlich aus dem 
internen Netz (2) durchfiihrbar ist. 
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